Nonostante la cybersecurity sia un tema centrale in ogni azienda, più della metà dei dirigenti non è sicura che la spesa sia destinata ad affrontare i rischi più significativi (secondo uno studio PwC).
Secondo un sondaggio condotto da Kaspersky i dirigenti C-suite a volte faticano a capire i loro colleghi della sicurezza IT e non sono sempre disposti a dimostrare la loro incomprensione. Il 19% dei dirigenti non IT dichiara di non sentirsi a proprio agio nel segnalare di non aver capito qualcosa durante una riunione con i responsabili IT e della sicurezza informatica.
Nonostante la maggior parte nasconda la propria confusione perché preferisce chiarire tutto dopo la riunione o scoprirlo da solo, il 26,32% dei dirigenti non solleva ulteriori domande perché crede che i colleghi dell’IT non siano in grado di fornire spiegazioni chiare. Inoltre, il 26,32% si sente in imbarazzo nel rivelare di non aver capito l’argomento e il 21,05% non vuole apparire ignorante di fronte ai colleghi informatici.
Sebbene tutti i top manager intervistati discutano regolarmente di questioni relative alla sicurezza con gli IT security manager, poco meno di un intervistato su dieci non ha mai sentito parlare di minacce come Botnet (7%), APT (7%) e Zero-Day exploit (7%). Allo stesso tempo, Spyware, Malware, Trojan e Phishing sembrano essere più familiari per i top manager.
In Italia, meno di un top manager su dieci ammette di non aver mai sentito citare i termini di cybersecurity come DecSecOps (9%), SOC (9%) e Pentesting (6%).
Per facilitare la comunicazione tra la sicurezza informatica e le funzioni aziendali, Kaspersky fornisce alcuni consigli:
- Considerare la sicurezza informatica come un elemento trainante per la crescita e l’innovazione dell’azienda. Per raggiungere questo obiettivo, il team di sicurezza informatica deve abbandonare le tattiche proibitive e spiegare piuttosto come l’azienda possa raggiungere i propri obiettivi mitigando i rischi di cybersecurity.
- I CISO devono impegnarsi attivamente nelle attività operative e costruire relazioni con gli stakeholder dell’azienda. Sebbene meno del 20% dei CISO abbia stabilito rapporti con i responsabili commerciali, finanziari e di marketing, per loro è difficile rimanere aggiornati sulle esigenze dell’azienda.
- Nelle comunicazioni con il consiglio di amministrazione, è necessario utilizzare argomentazioni basate su una valutazione delle minacce effettuata da parte di esperti, sullo stato di attacco della vostra azienda e sulle best practice.
- Spiegare al consiglio di amministrazione quali sono le principali responsabilità del team di sicurezza informatica. Se possibile, offrire loro l’opportunità di immedesimarsi in un CISO per avere un’idea delle sfide più importanti per la sicurezza informatica.
- Destinare gli investimenti per la cybersecurity in strumenti efficaci e che garantiscono un ROI. Gli strumenti che riducono il livello di falsi positivi, il tempo di rilevamento degli attacchi e quello dedicato a per ciascun caso e altre metriche sono importanti per tutti i team di sicurezza informatica.